移動惡意軟件是真實存在的，攻擊者們正在利用移動惡意軟件來竊取存儲在智能手機中的機密信息。但如果有人告訴你存在深度攻擊黑客組織專門研究如何利用最新移動設備漏洞來發動攻擊，這肯定是騙你的。Dan Guido等研究人員向我們展示了清晰的移動惡意軟件形勢，這些攻擊形式非常簡單，并且主要利用了谷歌的Android安全模式。

研究公司Trail of Bits共同創始人兼首席執行官Guido在2012年信息安全決策大會（Information Security Decisions）上公布的數據表明，攻擊者使用有限數量的公開已知漏洞來攻擊智能手機，特別是針對Android平臺。他們利用Android平臺不夠標準的審批程序和代碼簽名的做法，通過將惡意移動應用程序引入應用程序商店來發動攻擊。

Guido表示：“我們在蘋果公司的App Store沒有發現一個惡意軟件，而在Google Marketplace中發現超過30個惡意軟件，可能影響數以十萬計的用戶。”

攻擊者們很熱衷于在移動設備上獲得特權升級，以滲出數據到他們控制的服務器。因為攻擊方式簡單，攻擊者的成本要小于獲得的潛在收入。攻擊的成本因素包括一個設備被攻擊的難易程度，攻擊者被抓到的概率，以及目標數據的價值和是否可以轉換為錢。

Guido表示，最佳防御方法是提高攻擊者利用設備的成本。蘋果公司部署了很多障礙來阻止代碼執行，他們對所有提交到其App Store的代碼進行簽名，應用程序被授予一個唯一的ID和目錄。此外，他們的Seatbelt沙箱限制了應用程序從其他應用程序訪問數據，降低了iOS內核的攻擊面。

Guido表示，而Android的安全功能最大限度地幫助攻擊者降低了成本。Android沒有使用代碼簽名，而是使用No-eXecute或者NX bit，限制在操作系統中代碼被允許執行的領域。Guido表示這并沒有代碼簽名那么有效。蘋果修復漏洞的速度也比谷歌Android更快，這意味著Android漏洞利用有較長的可用時間。

“現在有3億臺Android設備，大多數設備沒有更新到最新版本，”Guido補充說，因為硬件限制，早期版本的Android設備不能升級到即將到來的4.0版本，“這幾乎是無法彌補的漏洞。”

Guido說道，現在還沒有移動瀏覽器攻擊，沒有感染設備的無線攻擊，也沒有應用程序到應用程序的漏洞利用，“都是圍繞Android的攻擊，都是關于越獄的攻擊。”

移動惡意軟件攻擊（例如Android DroidDream）都遵循類似的模式。他們利用公共漏洞來開發惡意軟件，然后被注入到一個移動應用程序，隨后應用程序被放到網上，通常是進入應用程序商店。然后攻擊者開始通過短信或者電子郵件社會工程學來誘使受害者下載惡意應用程序。一旦安裝成功，越獄漏洞就會為攻擊者升級特權，攻擊者就能夠與命令控制服務器（攻擊者用于發送接收數據的服務器）建立連接。“這是所有入侵都遵循的系統性過程，否則他們無法賺錢，”Guido表示，“如果你能夠干擾某個過程，攻擊都不會成功。”

攻擊者選擇通過Android移動應用程序來發動攻擊是因為該應用程序提交過程不夠安全。無論是在Google Play Android開發者平臺還是在iOS App Store，開發人員都使用信用卡注冊。在Google Play，你的信用卡號碼就是你的ID號，而Apple要求使用駕駛執照號或者公司章程。這兩個平臺都進行靜態應用程序代碼審查，但關鍵是蘋果公司不允許修改應用程序的運行時間，你提交給App Store的內容就是App Store出售的東西。但是，谷歌允許修改運行代碼的時間。攻擊者可以更容易地將惡意應用程序推入Google Play，因為當應用程序在Marketplace中后，他們還能夠修改應用程序。這在蘋果App Store無法實現，代碼簽名是安全審查過程中有可能抓到惡意應用程序的關鍵過程。

“你每次都需要一個新ID，這會增加攻擊者的成本，”Guido表示，“而對于Android，你可以竊取數百個信用卡號碼，并可以在提交程序后對程序進行修改。Android的安全審查不是很有效，攻擊者可以不斷嘗試，直到成功為止。”

歸根結底，現在只存在極少的移動設備漏洞利用，并且這些漏洞利用只針對一個平臺。“安全行業正在談論的問題與產品社區推出的產品之間存在斷層，”Guido表示，“大家太過于關注可能存在的問題，而沒有足夠關注真正的威脅。”